Roles integrados de RBAC de Azure para Azure Virtual Desktop

Azure Virtual Desktop usa el control de acceso basado en rol (RBAC) de Azure para controlar el acceso a los recursos. Hay muchos roles integrados para su uso con Azure Virtual Desktop que son una colección de permisos. Los roles se asignan a usuarios y administradores y estos roles conceden permiso para llevar a cabo determinadas tareas. Para más información sobre RBAC de Azure, consulte ¿Qué es Azure RBAC?.

Los roles integrados estándar para Azure son Propietario, Colaborador y Lector. Sin embargo, Azure Virtual Desktop tiene más roles que le permiten separar roles de administración para grupos de hosts, grupos de aplicaciones y áreas de trabajo. Esta separación le permite tener un control más pormenorizado sobre las tareas administrativas. Estos roles se denominan en cumplimiento con los roles estándar de Azure y la metodología con privilegios mínimos. Azure Virtual Desktop no tiene un rol de propietario específico, pero puede usar el rol de propietario general para los objetos de servicio.

Los roles integrados para Azure Virtual Desktop y los permisos para cada uno se detallan en este artículo. Puede asignar cada rol al ámbito que necesita. Algunas características de Azure Desktop tienen requisitos específicos para el ámbito asignado, que puede encontrar en la documentación de la característica pertinente. Para más información, consulte Descripción de las definiciones de roles de Azure y Descripción del ámbito de RBAC de Azure.

Para obtener una lista completa de todos los roles integrados disponibles, consulte Roles integrados de Azure.

Colaborador de virtualización de escritorio

El rol Colaborador de virtualización de escritorio permite administrar todos los recursos de Azure Virtual Desktop, además de la asignación de usuarios o grupos. Si desea asignar cuentas de usuario o grupos de usuarios a recursos, también necesita el rol Administrador de acceso de usuario. El rol Colaborador de virtualización de escritorio no concede a los usuarios acceso a los recursos de proceso.

Identificador: 082f0a83-3be5-4ba1-904c-961cca79b387

Tipo de acción	Permissions
actions	Microsoft.DesktopVirtualization/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Ninguno
dataActions	Ninguno
notDataActions	Ninguno

Lector de virtualización de escritorio

El rol Lector de virtualización de escritorio permite ver todos los recursos de Azure Virtual Desktop, pero no permite cambios.

Identificador: 49a72310-ab8d-41df-bbb0-79b649203868

Tipo de acción	Permissions
actions	Microsoft.DesktopVirtualization//read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Ninguno
dataActions	Ninguno
notDataActions	Ninguno

Usuario de virtualización de escritorio

El rol Usuario de virtualización de escritorio permite a los usuarios usar una aplicación en un host de sesión de un grupo de aplicaciones como usuario no administrativo.

Identificador: 1d18fff3-a72a-46b5-b4a9-0b38a3cd7e63

Tipo de acción	Permissions
actions	Ninguno
notActions	Ninguno
dataActions	Microsoft.DesktopVirtualization/applicationGroups/useApplications/action
notDataActions	Ninguno

Colaborador del grupo de hosts de virtualización de escritorio

El rol Colaborador del grupo de hosts de virtualización de escritorio permite administrar todos los aspectos de un grupo de hosts. También necesita el rol Colaborador de máquina virtual para crear máquinas virtuales y los roles Colaborador del grupo de aplicaciones de virtualización de escritorio y Colaborador del área de trabajo de virtualización de escritorio para implementar Azure Virtual Desktop mediante el portal, o bien puede usar el rol Colaborador de virtualización de escritorio .

Identificador: e307426c-f9b6-4e81-87de-d99efb3c32bc

Tipo de acción	Permissions
actions	Microsoft.DesktopVirtualization/hostpools/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Ninguno
dataActions	Ninguno
notDataActions	Ninguno

Lector del grupo de hosts de virtualización de escritorio

El rol Lector del grupo de hosts de virtualización de escritorio permite ver todos los aspectos de un grupo de hosts, pero no permite cambios.

Identificador: ceadfde2-b300-400a-ab7b-6143895aa822

Tipo de acción	Permissions
actions	Microsoft.DesktopVirtualization/hostpools//read Microsoft.DesktopVirtualization/hostpools/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Ninguno
dataActions	Ninguno
notDataActions	Ninguno

Colaborador del grupo de aplicaciones de virtualización de escritorio

El rol Colaborador del grupo de aplicaciones de virtualización de escritorio permite administrar todos los aspectos de un grupo de aplicaciones, además de la asignación de usuarios o grupos. Si también desea asignar cuentas de usuario o grupos de usuarios a grupos de aplicaciones, también necesita el rol Administrador de acceso de usuario.

Identificador: 86240b0e-9422-4c43-887b-b61143f32ba8

Tipo de acción	Permissions
actions	Microsoft.DesktopVirtualization/applicationgroups/* Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Ninguno
dataActions	Ninguno
notDataActions	Ninguno

Lector de grupos de aplicaciones de virtualización de escritorio

El rol Lector de grupo de aplicaciones de virtualización de escritorio permite ver todos los aspectos de un grupo de aplicaciones, pero no permite cambios.

Identificador: aebf23d0-b568-4e86-b8f9-fe83a2c6ab55

Tipo de acción	Permissions
actions	Microsoft.DesktopVirtualization/applicationgroups//read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/*
notActions	Ninguno
dataActions	Ninguno
notDataActions	Ninguno

Colaborador del área de trabajo de virtualización de escritorio

El rol Colaborador del área de trabajo de virtualización de escritorio permite administrar todos los aspectos de las áreas de trabajo. Para obtener información sobre las aplicaciones agregadas a un grupo de aplicaciones relacionado, también necesita el rol Lector de grupo de aplicaciones de virtualización de escritorio .

Identificador: 21efdde3-836f-432b-bf3d-3e8e734d4b2b

Tipo de acción	Permissions
actions	Microsoft.DesktopVirtualization/workspaces/* Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Ninguno
dataActions	Ninguno
notDataActions	Ninguno

Lector del área de trabajo de virtualización de escritorio

El rol Lector del área de trabajo de virtualización de escritorio permite a los usuarios ver todos los aspectos de un área de trabajo, pero no permite cambios.

Identificador: 0fa44ee9-7a7d-466b-9bb2-2bf446b1204d

Tipo de acción	Permissions
actions	Microsoft.DesktopVirtualization/workspaces/read Microsoft.DesktopVirtualization/applicationgroups/read Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/read Microsoft.Authorization//read Microsoft.Insights/alertRules/read Microsoft.Support/
notActions	Ninguno
dataActions	Ninguno
notDataActions	Ninguno

Operador de sesión de usuario de virtualización de escritorio

El rol Operador de sesión de usuario de virtualización de escritorio permite enviar mensajes, desconectar sesiones y usar la función de cierre de sesión para cerrar la sesión de los usuarios de un host de sesión. Sin embargo, este rol no permite la administración del grupo de hosts o del host de sesión, como quitar un host de sesión, cambiar el modo de purga, etc. Este rol puede ver las asignaciones, pero no puede modificar miembros. Se recomienda asignar este rol a grupos de hosts específicos. Si asigna este rol en un nivel de grupo de recursos, proporciona permiso de lectura en todos los grupos de hosts de un grupo de recursos.

Identificador: ea4bfff8-7fb4-485a-aadd-d4129a0ffaa6

Tipo de acción	Permissions
actions	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Ninguno
dataActions	Ninguno
notDataActions	Ninguno

Operador de host de sesión de virtualización de escritorio

El rol Operador de host de sesión de virtualización de escritorio permite ver y quitar hosts de sesión y cambiar el modo de purga. Este rol no puede agregar hosts de sesión mediante el Azure Portal porque no tiene permiso de escritura para los objetos del grupo de hosts. Para agregar hosts de sesión fuera del Azure Portal, si el token de registro es válido (generado y no expirado), este rol puede agregar hosts de sesión al grupo de hosts si también se asigna el rol Colaborador de máquina virtual.

Identificador: 2ad6aaab-ead9-4eaa-8ac5-da422f562408

Tipo de acción	Permissions
actions	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.Resources/deployments/* Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Support/*
notActions	Ninguno
dataActions	Ninguno
notDataActions	Ninguno

Colaborador de power on de virtualización de escritorio

El rol Colaborador de power on de virtualización de escritorio se usa para permitir que el proveedor de recursos de Azure Virtual Desktop inicie máquinas virtuales.

Identificador: 489581de-a3bd-480d-9518-53dea7416b33

Tipo de acción	Permissions
actions	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	Ninguno
dataActions	Ninguno
notDataActions	Ninguno

Colaborador de apagado de la virtualización de escritorio

El rol Colaborador de apagado de virtualización de escritorio se usa para permitir que el proveedor de recursos de Azure Virtual Desktop inicie y detenga las máquinas virtuales.

Identificador: 40c5ff49-9181-41f8-ae61-143b0e78555e

Tipo de acción	Permissions
actions	Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/instanceView/read Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Insights/eventtypes/values/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.AzureStackHCI/virtualMachineInstances/read Microsoft.AzureStackHCI/virtualMachineInstances/start/action Microsoft.AzureStackHCI/virtualMachineInstances/stop/action Microsoft.AzureStackHCI/virtualMachineInstances/restart/action Microsoft.HybridCompute/machines/read Microsoft.HybridCompute/operations/read Microsoft.HybridCompute/locations/operationresults/read Microsoft.HybridCompute/locations/operationstatus/read
notActions	Ninguno
dataActions	Ninguno
notDataActions	Ninguno

Colaborador de máquina virtual de virtualización de escritorio

El rol Colaborador de máquina virtual de virtualización de escritorio se usa para permitir que el proveedor de recursos de Azure Virtual Desktop cree, elimine, actualice, inicie y detenga máquinas virtuales.

Identificador: a959dbd1-f747-45e3-8ba6-dd80f235f97c

Tipo de acción	Permissions
actions	Microsoft.DesktopVirtualization/hostpools/read Microsoft.DesktopVirtualization/hostpools/write Microsoft.DesktopVirtualization/hostpools/retrieveRegistrationToken/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/write Microsoft.DesktopVirtualization/hostpools/sessionhosts/delete Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/read Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/disconnect/action Microsoft.DesktopVirtualization/hostpools/sessionhosts/usersessions/sendMessage/action Microsoft.DesktopVirtualization/hostpools/sessionHostConfigurations/read Microsoft.Compute/availabilitySets/read Microsoft.Compute/availabilitySets/write Microsoft.Compute/availabilitySets/vmSizes/read Microsoft.Compute/disks/read Microsoft.Compute/disks/write Microsoft.Compute/disks/delete Microsoft.Compute/galleries/read Microsoft.Compute/galleries/images/read Microsoft.Compute/galleries/images/versions/read Microsoft.Compute/images/read Microsoft.Compute/locations/usages/read Microsoft.Compute/locations/vmSizes/read Microsoft.Compute/operations/read Microsoft.Compute/skus/read Microsoft.Compute/virtualMachines/read Microsoft.Compute/virtualMachines/write Microsoft.Compute/virtualMachines/delete Microsoft.Compute/virtualMachines/start/action Microsoft.Compute/virtualMachines/powerOff/action Microsoft.Compute/virtualMachines/restart/action Microsoft.Compute/virtualMachines/deallocate/action Microsoft.Compute/virtualMachines/runCommand/action Microsoft.Compute/virtualMachines/extensions/read Microsoft.Compute/virtualMachines/extensions/write Microsoft.Compute/virtualMachines/extensions/delete Microsoft.Compute/virtualMachines/runCommands/read Microsoft.Compute/virtualMachines/runCommands/write Microsoft.Compute/virtualMachines/vmSizes/read Microsoft.Network/networkSecurityGroups/read Microsoft.Network/networkInterfaces/write Microsoft.Network/networkInterfaces/read Microsoft.Network/networkInterfaces/join/action Microsoft.Network/networkInterfaces/delete Microsoft.Network/virtualNetworks/subnets/read Microsoft.Network/virtualNetworks/subnets/join/action Microsoft.Marketplace/offerTypes/publishers/offers/plans/agreements/read Microsoft.KeyVault/vaults/deploy/action Microsoft.Storage/storageAccounts/read Microsoft.Authorization//read Microsoft.Insights/alertRules/ Microsoft.Resources/deployments/* Microsoft.Resources/subscriptions/resourceGroups/read
notActions	Ninguno
dataActions	Ninguno
notDataActions	Ninguno

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-06-20